“在京海，天上掉下個鋼镚都得姓高?！痹跓岵ル娨晞　犊耧j》中，高啟強(qiáng)的弟弟高啟盛在KTV里無比猖狂的說著這句話。

黑客世界里也有“狂飆”，在網(wǎng)絡(luò)空間之中，有一個犯罪集團(tuán)堪比高啟強(qiáng)犯罪團(tuán)伙，依靠手中異常犀利的攻擊加密技術(shù)，黑了無數(shù)大型跨國集團(tuán)、政府機(jī)構(gòu)、事業(yè)組織等，一年發(fā)布的勒索贖金金額上億美元，更是囂張地在暗網(wǎng)公布了所有的被勒索名單，這些受害機(jī)構(gòu)一旦遭到攻擊，輕則造成業(yè)務(wù)系統(tǒng)癱瘓，蒙受經(jīng)濟(jì)損失，重則導(dǎo)致社會性服務(wù)的停止，影響城市甚至國家正常運(yùn)行。

由此可見，其猖狂程度和高啟盛有的一拼。而當(dāng)我們細(xì)細(xì)發(fā)掘該犯罪集團(tuán)的“狂飆之路”，卻又發(fā)現(xiàn)其發(fā)家歷程和強(qiáng)盛集團(tuán)十分相似。

它就是“LockBit”，一個臭名昭著的勒索組織。

如同“狂飆”里，強(qiáng)盛集團(tuán)一路過關(guān)斬將，把京海市諸多老牌黑惡勢力團(tuán)隊打落馬下一樣，掌控著當(dāng)?shù)氐牡叵率袌?。LockBit勒索組織經(jīng)過自我三次迭代，快速超越各大老牌勒索組織，最終在2022年登上了LockBit勒索軟件領(lǐng)域的NO.1。

他們都是從默默無聞開始，卻一路狂奔，短時間內(nèi)聲名鵲起，成為了行業(yè)的領(lǐng)頭羊。今天，咱們來聊聊LockBit勒索組的那些事。

一、處于NO.1地位的LockBit的勒索組織

2022年，在全球數(shù)字化轉(zhuǎn)型的大浪潮下，全球網(wǎng)絡(luò)形勢愈發(fā)嚴(yán)峻，其中尤其以勒索攻擊最令人頭疼，輕則影響公司業(yè)務(wù)正常運(yùn)轉(zhuǎn)，重則數(shù)據(jù)被加密，索要巨額贖金。

好在在全球各國/地區(qū)不遺余力的打擊之下，2022年勒索攻擊整體呈現(xiàn)下降趨勢。根據(jù) Google 子公司 Mandiant 的報告，勒索攻擊在2022年似乎遭遇了“挫折”：Mandiant 響應(yīng)的勒索軟件事件減少了 15%。而勒索軟件組織索要的贖金平均金額下降了 28%，從一年前的 570 萬美元減少到 410 萬美元。

另一家安全公司 CrowdStrike 認(rèn)為，原因包括勒索軟件組織的成員遭到逮捕，比特幣等加密貨幣的幣值下降等。根據(jù) Chainalysis 的分析，2022 年勒索軟件組織的總收入從 2021 年的 7.656 億美元下降到 2022 年的大約 4.568 億美元，下降了 40.3%。受害者支付贖金的概率也在下降。

就在勒索攻擊行業(yè)面臨整體下行的趨勢下，LockBit卻呈現(xiàn)出逆勢大幅增長的趨勢。就像狂飆里高啟強(qiáng)的經(jīng)典臺詞：我會怕風(fēng)浪嗎？風(fēng)浪越大，魚越貴！LockBit也是如此，在2022年面臨巨大的打擊力度下，它卻反而活的更加滋潤。

網(wǎng)絡(luò)安全公司 Malwarebytes 公布的最新報告顯示，在 Windows 平臺上 2022 年影響最大的勒索軟件是 LockBit，它占勒索軟件即服務(wù)（RaaS）攻擊的三分之一。

另一份報告數(shù)據(jù)顯示，在2022年5月份之前，LockBit幾乎是一騎絕塵，在全球范圍內(nèi)打穿超過 850 多家企業(yè)機(jī)構(gòu)的防御系統(tǒng)，占同時間段內(nèi)所有勒索軟件相關(guān)攻擊事件的 46%。

據(jù)網(wǎng)絡(luò)安全公司 Dragos 的數(shù)據(jù)，2022年第二季度針對工業(yè)系統(tǒng)的勒索軟件攻擊中，約有三分之一是由 LockBit發(fā)起的，對工控領(lǐng)域內(nèi)不少大型企業(yè)造成了巨大的打擊。而Deep Instinct發(fā)布的報告指出，在2022上半年，LockBit發(fā)起的勒索攻擊約占總攻擊數(shù)的44%。

短短三年，LockBit勒索軟件團(tuán)伙的受害者數(shù)量已高達(dá)一千多個，是老牌勒索軟件組織 Conti 的 2 倍，更是 Revil 的 5 倍有余。

值得一提的是，LockBit勒索組織的贖金獲得率也在諸多老牌勒索組織之上。就2022年數(shù)據(jù)來看，提出的1億美元的贖金需求中，勒索成功率高達(dá)超過一半，令無數(shù)企業(yè)聞風(fēng)喪膽。

難怪有企業(yè)安全專家稱，LockBit已經(jīng)成為全球的公敵。

如此高的成功率和LockBit所倡導(dǎo)的勒索軟件即服務(wù)（RaaS）攻擊方式密不可分。所謂勒索軟件即服務(wù)（RaaS）是一套靠勒索攻擊賺錢的盈利模式。與普通的軟件公司無異，從開發(fā)到銷售再到運(yùn)營，勒索產(chǎn)業(yè)鏈各個環(huán)節(jié)的建立與協(xié)作已然成熟。在規(guī)模效益促進(jìn)各環(huán)節(jié)賺取更多收入的背景下，越來越多的勒索攻擊來自于RaaS。

在LockBit的RaaS模式中，該組織的運(yùn)營團(tuán)隊只收取20%的贖金分成，剩余的贖金全部分發(fā)給其附屬組織，高額的分成吸引了大量的勒索攻擊團(tuán)伙，也讓導(dǎo)LockBit的勒索組織規(guī)模迅速擴(kuò)大，是其登頂NO.1的核心殺手锏。

二、LockBit 1.0：初入江湖，默默無聞

2019 年 9 月，LockBit 勒索病毒第一次正式亮相，因其使用.abcd 的后綴名來標(biāo)記已加密的受害者文件，被稱慣為“ABCD”勒索軟件。早期版本中，LockBit 1.0非常不成熟，作案過程中加密軟件不僅使用固定的互斥鎖，甚至?xí)埩粢恍┮妆粴④?、沙箱等安全軟件識別和攔截的debug的函數(shù)。

隨著組織規(guī)模不斷發(fā)展，LockBit1.0開始采用RaaS（Ransomware-as-a-service，勒索軟件及服務(wù)）模式運(yùn)營，并在一個著名的俄語論壇XSS上為其合作計劃進(jìn)行廣告推廣。

八個月后，LockBit 1.0 勒索軟件運(yùn)營商又升級了勒索策略，創(chuàng)建了一個用于公開受害者數(shù)據(jù)的站點，配合文件加密，試圖進(jìn)一步施壓受害者，以期達(dá)成“雙重勒索”的目的。

經(jīng)過幾次小的升級后，相較于其它勒索軟件，LockBit 1.0作案手段更為高超。在針對Windows系統(tǒng)時，加密過程采用 RSA+AES算法加密文件，使用IOCP完成端口+AES-NI指令集提升工作效率，從而實現(xiàn)高性能加密流程，一旦成功加密文件后，所有受害者文件會被添加無法破解的.abcd擴(kuò)展后綴。

LockBit 勒索軟件1.0時期，顯示勒索信息的方式主要通過修改受害者系統(tǒng)桌面壁紙（顯示勒索信息），并留下名為 Restore-My-Files.txt的勒索信，要求受害者登錄暗網(wǎng)，以比特幣和門羅幣兩種形式繳納贖金。

LockBit 1.0 時期

這個時期的LockBit勒索組織在整個勒索攻擊領(lǐng)域還處于默默無聞的地位，既沒有拿得出手的勒索攻擊事件，又沒有非常高超的勒索攻擊技術(shù)，如同還在市場上賣魚的高啟強(qiáng)，還處于蟄伏階段。但不可否認(rèn)的是，在見識了勒索攻擊的暴利之后，LockBit勒索組織和剛剛嘗到權(quán)利甜頭的高啟強(qiáng)一樣，內(nèi)心的野心已經(jīng)在瘋狂生長。

三、LockBit 2.0牛刀小試，初露鋒芒

LockBit 1.0 的狂飆之路并不順利，進(jìn)入 2021年后，可以發(fā)現(xiàn)其攻擊活動明顯減少。此時的它們也意識到和頂級勒索團(tuán)隊的差距，回去默默地修煉內(nèi)功。

2021年6月，經(jīng)過短暫蟄伏，LockBit勒索組織在其泄密網(wǎng)站上宣布高調(diào)回歸，并帶來全新版本—LockBit 2.0。其宣傳廣告中，LockBit 團(tuán)隊強(qiáng)調(diào)新版本提供了 Tor  網(wǎng)絡(luò)中的管理面板、自動進(jìn)行解密測試服務(wù)、強(qiáng)大的掃描器功能等更加豐富的配套服務(wù)（卷，死命卷）。

根據(jù)分析來看，LockBit2.0勒索軟件延續(xù)了前一版本攻擊手法，加密方式仍然采用常見的RSA+AES組合，加密后文件擴(kuò)展名均為.lockbit ，但加密速度變得更快。

LockBit 2.0版本的勒索軟件成功加密系統(tǒng)后，會立刻更換桌面壁紙，并留下名為Restore-My-Files.txt的勒索信。

LockBit 2.0 贖金票據(jù)

LockBit勒索團(tuán)伙號稱新版本是全世界加密速度最快的勒索軟件，加密速度可達(dá)373MB/s，是1.x版本加密速度的1.4倍，一分鐘內(nèi)大約可以加密25000個文件，遠(yuǎn)超其它勒索軟件。

此外，LockBit2.0 中新加入了磁盤卷影和日志文件刪除等新功能，使得加密后文件更難恢復(fù)。更為恐怖的是，LockBit團(tuán)伙還開發(fā)了自己獨有的數(shù)據(jù)竊取工具“StealBit”提供給附屬團(tuán)伙，以作為招募附屬計劃的一部分，達(dá)到“雙重勒索”的目的（StealBit竊密工具速度可達(dá)到83.46MB/S，下載100G的文件用時只需要19分鐘58秒）。

四、LockBit 3.0瘋狂的成名之路

經(jīng)過前兩個版本的迭代，LockBit勒索組織已經(jīng)策劃了好幾期非常具有代表性的勒索攻擊事件，品嘗到了勒索攻擊的紅利，更加堅定繼續(xù)迭代升級的決心。

2022 年 6 月發(fā)布的LockBit 3.0版本中，改進(jìn)了RaaS操作，引入勒索軟件漏洞賞金計劃，邀請安全研究人員提交漏洞報告，以換取1000美元至100萬美元的獎金。

相比前兩代，LockBit 3.0勒索軟件在贖金票據(jù)做了很大的改變，不再名為Restore-My-Files.txt，而是一個名為“ [random_string].README.txt ”）的隨機(jī)動態(tài)文本，加密擴(kuò)展名變化為“HLJkNskoq”或“19MqzqzOs”隨機(jī)靜態(tài)形式，且鎖定文件的圖標(biāo)為ico形式。

LockBit 3.0 桌面壁紙

LockBit 3.0 贖金票據(jù)

經(jīng)歷三次重大改版后，推出了更具有針對性、破壞性、隱蔽性的現(xiàn)行版本。LockBit 3.0推出來僅2個多月的時間，就在其暗網(wǎng)網(wǎng)站上公布了二百多個受害者，可見其攻擊頻率之高。

（Lockbit 勒索家族的發(fā)展 圖源：深信服千里目實驗室）

更可怕的是Lockbit3.0甚至還引入了一個“賞金計劃”。如同企業(yè)發(fā)布漏洞賞金計劃激勵白帽黑客來發(fā)掘漏洞一樣，Lockbit3.0的賞金計劃也是邀請黑客來發(fā)現(xiàn)它們勒索軟件的不足之處。這也是勒索領(lǐng)域首個“賞金計劃”，充分展現(xiàn)出了Lockbit組織那極其龐大的野心。我也可以想象，經(jīng)過了“賞金計劃”的洗禮，Lockbit的勒索攻擊必定會更加難以防御，值得我們提高警惕。

五、一場攪動華爾街巨頭的勒索攻擊

2022年，Lockbit的最高光時刻當(dāng)屬對大宗商品金融數(shù)據(jù)公司ION Trading UK的勒索攻擊。該攻擊直接讓華爾街、大型銀行、交易所、監(jiān)管機(jī)構(gòu)都懵了，全球衍生品交易員也因此都“瞎了”。

ION Trading UK是一家大宗商品金融數(shù)據(jù)公司，其清算衍生品部門在今年1月下旬遭到勒索軟件攻擊，部分衍生品系統(tǒng)被禁用，全球多家大型銀行、交易所和監(jiān)管機(jī)構(gòu)因此受到牽連。

自電子系統(tǒng)問世以來，期貨市場一直依賴以ION為首的數(shù)據(jù)公司生產(chǎn)的自動化軟件來處理交易。ION是少數(shù)幾家能夠處理經(jīng)紀(jì)商交易匹配和協(xié)調(diào)這一復(fù)雜但關(guān)鍵工作的公司之一。

當(dāng)ION被攻擊后，整個期貨市場直接就崩了，仿佛回到了上世紀(jì)80年代：交易員和經(jīng)紀(jì)商們紛紛開始使用電子表格來手動跟蹤交易。網(wǎng)絡(luò)安全公司Quod Orbis的首席執(zhí)行官M(fèi)artin Greenfield補(bǔ)充說道，“這對于大多數(shù)銀行來說，無疑是一場噩夢?！?/p>

據(jù)外媒報道，ION被攻擊可能影響到的銀行包括加拿大皇家銀行（RBC）、瑞銀（UBS）、麥格理（Macquarie）、荷蘭銀行（ABN Amro）的清算部門，以及意大利資產(chǎn)規(guī)模最大的聯(lián)合圣保羅銀行（Intesa Sanpaolo）。

華爾街特大型交易柜臺亦繃緊了神經(jīng)：青睞該衍生品平臺的花旗集團(tuán)、美國銀行、摩根士丹利等大型銀行機(jī)構(gòu)正在仔細(xì)評估通過ION系統(tǒng)發(fā)送的交易信息。有知情人士稱，雖然華爾街大型銀行在證券等市場的業(yè)務(wù)尚未被殃及，但最新舉動凸顯出銀行業(yè)的謹(jǐn)慎，畢竟ION的衍生品平臺幾乎被所有的大型銀行所采用。

受波及還有期貨交易所及監(jiān)管部門。美國商品期貨交易委員會（CFTC）宣布推遲三周發(fā)布其交易商承諾（COT）報告；泛歐交易所（Euronext）推遲發(fā)布大宗商品衍生品持倉周報；洲際交易所（ICE）則無法按照歐洲規(guī)則的要求提供每周期貨頭寸報告。

最后，ION無法頂住各方帶來的巨大壓力，向Lockbit勒索組織繳納了贖金，獲得了對方提供的解密密鑰，快速完成了斷線后的恢復(fù)進(jìn)程。

毫無疑問，這是一場令金融行業(yè)印象深刻的勒索攻擊，也讓Lockbit勒索組織的大名被各大金融巨頭所熟知，產(chǎn)生的巨大危害讓這些華爾街巨頭們依舊心有余悸。

六、LockBit 勒索軟件席卷全球

ION 勒索攻擊案例僅僅是諸多戰(zhàn)績之一，在其整體發(fā)展過程中對全球企業(yè)機(jī)構(gòu)進(jìn)行了無數(shù)攻擊行為，受害者涵蓋政府，能源、航空航天、信息技術(shù)、咨詢、交通等眾多重要行業(yè)，波及英國、美國、澳大利亞、意大利、奧地利、比利時、巴西、德國等數(shù)十個國家。

諷刺的是，LockBit 勒索軟件出道時，曾喊出“讓勒索軟件再次偉大”的響亮口號，而且似乎正在超著這個目標(biāo)前進(jìn)。

這里列舉LockBit 勒索軟件攻擊的部分受害者：

(1) 法國司法部

Lockbit 2.0 勒索軟件時代，其暗網(wǎng)博客上法國司法部添加到受害者名單中，并要挾其必須在 2 月 10 日前支付贖金，否則所有被盜數(shù)據(jù)都將被發(fā)布至暗網(wǎng)，隨后，法國司法部回應(yīng)稱已知悉情況并采取措施積極應(yīng)對；

(2) 加拿大、德國軍方供應(yīng)商Top Aces

2021年5月，加拿大、德國軍方的獨家戰(zhàn)機(jī)培訓(xùn)供應(yīng)商Top Aces透露遭到LockBit勒索軟件攻擊。不久后，LockBit團(tuán)伙的官方網(wǎng)站放出要求，若是收不到贖金將公布竊取的44GB內(nèi)部數(shù)據(jù)。

(3) IT咨詢巨頭財富500強(qiáng)公司埃森哲

21年8月，全球IT咨詢巨頭財富500強(qiáng)公司埃森哲遭遇了LockBit勒索軟件組織的勒索軟件網(wǎng)絡(luò)攻擊。該組織聲稱從埃森哲竊取了6TB的數(shù)據(jù)，并要求支付5000萬美元的贖金。

(4) 曼谷航空公司

21年8月，LockBit軟件勒索團(tuán)伙攻擊了曼谷航空公共有限公司。事件發(fā)生之后，該航空公司立即與網(wǎng)絡(luò)安全專家合作，核實了損壞的數(shù)據(jù)和受影響的乘客，并采取其他相關(guān)措施加強(qiáng)公司信息系統(tǒng)建設(shè)。

(5) 美國加利福尼亞州財政部

22年4月，LockBit勒索軟件團(tuán)伙在其Tor泄密網(wǎng)站上發(fā)布消息表示，他們對美國加利福尼亞州財政部實施了入侵并成功竊取了數(shù)據(jù)庫、機(jī)密資料、財務(wù)文件和IT文件。隨后不久加州州長緊急服務(wù)辦公室證實，財政部確實受到了網(wǎng)絡(luò)事件的影響。

(6) 意大利稅務(wù)局

2022年7月，意大利《晚郵報》報道，勒索軟件團(tuán)伙L(fēng)ockbit成功入侵了意大利稅務(wù)局，并從中竊取了約78GB數(shù)據(jù)，此后更是威脅意大利稅務(wù)局在5天內(nèi)支付贖金，否則將公布盜取的全部數(shù)據(jù)。

(7) 法國電信運(yùn)營商La Poste Mobile

2022年7月4日，Lockbit 勒索軟件團(tuán)伙襲擊了法國電信運(yùn)營商La Poste Mobile，成功進(jìn)入其網(wǎng)站和客戶系統(tǒng)，盜取了員工計算機(jī)中的部分文件。

(8) 微軟服務(wù)器

2022年7月，LockBit 3.0勒索軟件在被破壞的Exchange服務(wù)器上部署了Web shell，然后只花了7天時間就將權(quán)限升級為活動目錄管理員，并在加密網(wǎng)絡(luò)中托管的系統(tǒng)之前竊取了大約1.3TB的數(shù)據(jù)。

(9) 英國汽車經(jīng)銷商集團(tuán)Pendragon

2022年10月，英國著名汽車經(jīng)銷商集團(tuán)Pendragon遭遇LockBit勒索軟件組織攻擊，部分?jǐn)?shù)據(jù)被竊取。LockBit表示必須在截止日期前支付6000萬美元贖金，否則會公開被盜數(shù)據(jù)。

(10) 咨詢和IT服務(wù)提供商Kearney & Company

2022年11月，勒索團(tuán)伙L(fēng)ockBit聲稱竊取了咨詢和IT服務(wù)提供商Kearney & Company的數(shù)據(jù)，此后不久便將該公司添加到被攻擊名單中，并威脅如果不付贖金，會在2022年11月26日之前公布竊取的數(shù)據(jù)。

能夠進(jìn)行如此多的勒索行動，可見LockBit勒索軟件組織和強(qiáng)盛集團(tuán)一樣都深諳“經(jīng)營之道”。沒有做吃山空，而是經(jīng)過不間斷迭代和優(yōu)化，最終成為令企業(yè)聞風(fēng)喪膽的勒索組織。

七、勒索軟件防御指南

勒索軟件的危害依舊在瘋狂蔓延，若行業(yè)內(nèi)不能夠投入足夠注意力，勒索軟件可能會繼續(xù)野蠻生長，直至無敵于“網(wǎng)絡(luò)江湖”。此外，勒索軟件治理是網(wǎng)絡(luò)攻擊者和安全人員雙方的較量，需要耐心、策略、時機(jī)、方式。

以 LockBit勒索軟件為例，在持續(xù)迭代更新每一個版本的攻擊方式、策略、入侵點等，安全人員很難形成完備的修復(fù)體系。因此，在勒索軟件治理過程中，預(yù)防遠(yuǎn)遠(yuǎn)比修復(fù)更重要，采取系統(tǒng)化，綜合施策、系統(tǒng)治理、多方聯(lián)合，形成預(yù)防勒索軟件的圍墻，強(qiáng)烈建議大家做好以下防護(hù)措施：

• 盡可能使用復(fù)雜密碼：企業(yè)內(nèi)部在設(shè)置服務(wù)器或者內(nèi)部系統(tǒng)密碼時，應(yīng)采用復(fù)雜的登陸憑證，例如必須包括數(shù)字、大小寫字母、特殊符號，且長度至少為8位的密碼，并定期更換口令。
• 雙重驗證：對于企業(yè)內(nèi)部敏感信息，需要基于密碼的登錄基礎(chǔ)上，增加其它層防御以阻止黑客攻擊，例如在部分敏感系統(tǒng)上安裝指紋、虹膜等生物識別驗證或物理 USB 密鑰身份驗證器等措施。
• “四不要”：不要點擊來源不明郵件；不要瀏覽色情、賭博等不良信息網(wǎng)站；不要安裝來源不明軟件，謹(jǐn)慎安裝陌生人發(fā)送的軟件；不要隨意將來歷不明的U盤、移動硬盤、閃存卡等移動存儲設(shè)備插入機(jī)器。
• 數(shù)據(jù)備份保護(hù)：防止數(shù)據(jù)丟失最好的真正保障永遠(yuǎn)是離線備份，因此，對關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份十分必要。注意，備份要清晰，標(biāo)注每個階段的備份，確保在某個備份受到惡意軟件感染時能夠及時找回。
• 要常殺毒、關(guān)端口：安裝殺毒軟件并定期更新病毒庫，定期全盤殺毒；關(guān)閉不必要的服務(wù)和端口（包括不必要的遠(yuǎn)程訪問服務(wù)<3389端口、22端口>、不必要的135、139、445等局域網(wǎng)共享端口等）。
• 加強(qiáng)員工安全意識：安全生產(chǎn)最大的隱患在于人員，釣魚、社工、投毒、弱密碼這些關(guān)鍵因素都與人員的安全意識息息相關(guān)，因此要做好整體的安全加固和防御能力提升，就要切實提升人員的安全意識。

及時給辦公終端和服務(wù)器打補(bǔ)?。簩Σ僮飨到y(tǒng)以及第三方應(yīng)用及時打補(bǔ)丁，防止攻擊者通過漏洞入侵系統(tǒng)。